2018年08月30日
最近接到客戶舉報,服務器文件被勒索軟件加密,聯系客戶拿到樣本之后,判定該樣本為Globelmposter家族的變種樣本。
Globelmposter家族首次發現在2017年5月份,這次發現的樣本為Globelmposter家族的最新樣本,沒有內網傳播功能,其加密文件使用.TRUE擴展名,取消了勒索付款的比特幣錢包地址以及回傳信息的“洋蔥”網絡地址,而是直接通過郵件地址告知受害者聯系,然后取得相應的付款方式,由于Globelmposter采用RSA2048算法加密,目前該勒索樣本加密的文件無解密工具。
行為分析
1.勒索樣本在運行后,首先判斷%LOCALAPPDATA%或%APPDATA%環境變量是否存在,如果存在則將自身復制到%LOCALAPPDATA%或%APPDATA%目錄,如圖所示關的反匯編代碼如圖
2.復制自身到%LOCALAPPDATA%或%APPDATA%目錄之后,進行持久化操作,設置自啟動項,注冊表項為
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck實現開機自啟動,反匯編代碼如圖所示:
3.通過內存解密,得到如下圖所示的目錄字符串列表:
勒索軟件在進行加密的時候,會判斷是否是以上目錄,如果是以上目錄則不進行加密操作,如圖所示:
4.生成RSA私鑰并使用硬編碼公鑰加密,之后將加密后的密文轉換為ASCII碼,最后將密文寫入%ALLUSERSPROFILE%變量路徑中,生成的密鑰ID文件如圖所示:
5.樣本通過RSA算法進行加密,先通過CryptGenRandom隨機生成一組128位密鑰對,然后使用樣本中的硬編碼的256位公鑰生成相應的私鑰,最后生成受害用戶的個人ID序列號,然后加密相應的文件夾目錄和擴展名,并將生成的個人ID序列號寫入到加密文件未尾,如圖所示:
6.用戶感染相應的勒索樣本之后,樣本會加密相應的文件夾下的文件,并生成how_to_back_file.html的超文本文件,如圖所示:
生成的超文件文件,顯示了個人的ID序列號,以及惡意軟件作者的聯系方式,如圖所示:
7.加密完成之后,進行自刪除操作,如圖所示:
防御方式
千里目安全實驗室提醒各位小伙伴們,平時注意以下安全防范措施:
不要點擊來源不明的郵件以及附件
及時給電腦打補丁,修復漏洞
對重要的數據文件定期進行非本地備份
安裝專業的終端/服務器安全防護軟件
Globelmposter勒索軟件之前的變種會利用RDP(遠程桌面協議),因此建議用戶關閉相應的RDP(遠程桌面協議)
盡量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等。